設定 VPN

本節說明如何設定這些 VPN 組態案例：

• 遠端存取 VPN 遠端存取使用者端（例如端點安全 VPN）和安全閘道之間的加密通道。

• 使用預先共用密碼的網站對站台 VPN

• 使用憑證的網站對站台 VPN

設定遠端存取 VPN

介紹

使用以下選項進行遠端存取：

• Check Point VPN 客戶端

• Check Point移動客戶端

• Check Point SSL VPN

• L2TP VPN 客戶端

先決條件

• 在 VPN> blade控制中，確定：

  • 將遠端存取控制設定為「開啟」。

  • 選取 [允許來自遠端存取使用者的流量 (預設情況下)] 選項。

  • 選取適用的連線方法。

  如需詳細資訊，請參閱設定遠端存取blade。

• 如果閘道使用動態 IP 位址，建議您使用 DDNS 功能。請參閱設定DDNS和存取服務。

• 對於 Check Point VPN 客戶端或移動客戶端方法，請確保在主機上安裝了適用的客戶端。如需詳細資訊，請點擊如何連線。

遠端存取組態

以下是設定遠端存取使用者的方法：

• 本機使用者

• RADIUS使用者

• AD使用者

若要僅允許指定的使用者與遠端存取使用者端連線，請為適用的使用者類型設定群組 具有共用屬性的物件集合，例如使用者帳號。權限。選取「新增」選項旁邊的箭頭，然後選取相關的群組選項。請參閱設定遠端存取使用者。

設定新本地使用者：

1. 前往 VPN> 遠端存取使用者。

2. 點擊新增以新增本機使用者。

3. 確定已選取 [遠端存取權限] 核取方塊。

如需詳細資訊，請參閱設定遠端存取使用者。

設定現有使用者：

1. 前往 VPN> 遠端存取使用者。

2. 點擊 [編輯] 以確定已選取 [遠端存取權限] 核取方塊。

如需詳細資訊，請參閱設定遠端存取使用者。

若要設定 RADIUS 使用者：

1. 前往 VPN> 驗證伺服器。

2. 點擊「設定」以新增 RADIUS 伺服器。請參閱設定遠端存取驗證伺服器。

3. 點擊 RADIUS 使用者的權限以設定存取權限。

若要設定 AD 使用者：

1. 移至 VPN> 驗證伺服器，然後點擊 [新增] 以新增 AD 網域。請參閱設定遠端存取驗證伺服器。

2. 點擊使Active Directory 用戶的權限限以設定存取權限。

L2TP VPN 使用者端設定

對於 L2TP VPN 使用者端設定，請在啟用 L2TP VPN 使用者端方法後，點擊 L2TP 預先共用金鑰以輸入金鑰。

進階選項

如需有關進階遠端存取選項 (例如 Office Mode 網路) 的詳細資訊，請參閱設定進階遠端存取選項。

監控

若要確定遠端存取正常運作：

使用已設定的使用者端從遠端主機連線到內部資源。

使用預先共用密碼設定站台對站台 VPN

介紹

在此站台對站台 VPN 設定方法中，會使用預先共用的密碼進行驗證。

先決條件

• 確定網站對站台 VPN blade已設定為 [開啟]，並且已選取 [允許來自遠端站點的流量] (預設值)。請參閱設定站點到站點 VPN blade。

• 您連線的對點設備必須設定並連線至網路。如果它是 DAIP 閘道，則其主機名稱必須可以解析。

設定

輸入主機名稱或 IP 位址，然後輸入預先共用的密碼資訊。如需詳細資訊，請參閱設定 VPN 網站。

監控

若要確定 VPN 正常運作：

1. 在本機和對點閘道之間傳送流量。

2. 到 VPN> 隧道以監視隧道狀態。請參閱查看 VPN 隧道。

使用憑證設定站台對站台 VPN

介紹

在此站台對站台 VPN 設定方法中，憑證會用於驗證。

先決條件

• 確定網站對站台 VPN blade已設定為 [開啟]，並且已選取 [允許來自遠端站點的流量] (預設值)。請參閱設定站點到站點 VPN blade。

• 您連線的對點設備必須設定並連線至網路。如果它是 DAIP 閘道，則其主機名稱必須可以解析。

• 您必須使用您的 IP 位址或可解析的主機名稱重新初始化憑證。確定憑證在雙方都受信任。

• VPN 加密設定在兩端 (本機閘道和對點閘道) 必須相同。當您使用 [自訂加密] 選項時，這一點特別重要。

設定

1. 重新初始化憑證-使用管理已安裝的證書選項。確保在本地和對點閘道上完成此操作（如果它們都使用本地管理的 Check Point 設備）。

2. 信任本機和對點閘道上的 CA-使用下列其中一個程序：

   • 在閘道器之間交換 CA

   • 使用閘道的其中一個 CA 簽署要求。

   • 使用第三方 CA 進行身份驗證。

   • 使用現有的第三方憑證進行身份驗證。

3. 使用憑證驗證建立 VPN  網站。

   1. 依照設定 VPN 網站中的指定進行。

   2. 若要確定使用指定的憑證，請在進階憑證比對中輸入對點閘道的>憑證資訊。

信任程序

在閘道器之間交換 CA：

點擊 [新增] 以新增對點閘道的受信任 CA。這樣可以確保 CA 在本地和對點閘道上上傳。請參閱管理受信任的 CA。

使用其中一個閘道的 CA 簽署要求：

您可以從必須由對點閘道的 CA 簽署的一個閘道建立要求：

1. 使用管理已安裝的證書中的新簽署要求選項。

2. 使用「匯出」選項匯出此請求。

3. 使用對點閘道的內部 CA 在對點閘道上簽署要求。

   如果對點閘道是本機管理的 Check Point 閘道，請移至 VPN 受>信任的 CA 並使用簽署要求選項。

   如需詳細資訊，請參閱管理受信任的 CA。

4. 將已簽署的要求上傳至本機閘道。

   1. 到 VPN> 安裝的證書。

   2. 選取您要求遠端對點簽署的已安裝憑證。

   3. 使用「上傳簽署的憑證」選項上傳憑證。

      請參閱管理已安裝的證書。

5. 確定 CA 已安裝在兩個閘道上。使用管理受信任的 CA 中的 [新增] 選項。

如要使用第三方 CA 進行身份驗證：

您可以從每個對點閘道建立簽署要求。按照使用其中一個閘道的 CA 簽署要求中的上述步驟，使用第 3 方 CA 對其進行簽名。

請注意，第 3 方 CA 可以發布 *.crt、*.p12或者 *.pfx憑證檔案。

1. 使用適當的上傳選項上傳憑證。

   1. 到 VPN> 安裝的證書。

   2. 選取您要求遠端對點簽署的已安裝憑證。

   3. 上傳具有「上傳簽署的憑證」或「上傳 P12 憑證」選項的憑證。

      請參閱管理已安裝的證書。

2. 確定協力廠商 CA 已安裝在兩個閘道上。

   使用管理受信任的 CA 中的 [新增] 選項。

如要使用現有的第三方憑證進行身份驗證：

1. 為本機和對點閘道建立 P12 憑證。

2. 使用每個閘道上的「上傳 P12 憑證」選項來上傳 P12 憑證。

3. 確定協力廠商 CA 已安裝在兩個閘道上。

   使用管理受信任的 CA 中的 [新增] 選項。

監控 VPN

若要確定 VPN 正常運作：

1. 在本機和對點閘道之間傳遞流量。

2. 到 VPN> 隧道以監視隧道狀態。

   請參閱查看 VPN 隧道。